Mylinking™ mrežni prekidač za premosnicu ML-BYPASS-100
2*Bypass plus 1*Monitor Modularni dizajn, 10/40/100GE veze, maks. 640Gbps
Pregledi
Mylinking™ mrežni prekidač za premosnicu tap-a je istražen i razvijen za fleksibilno korištenje u različitim vrstama sigurnosne opreme, uz istovremeno pružanje visoke pouzdanosti mreže.
Primjenom Mylinking™ pametne bypass sklopke za slavinu:
- Korisnici mogu fleksibilno instalirati/deinstalirati sigurnosnu opremu/alate, a to neće utjecati na trenutnu mrežu i prekidati je;
- Mylinking™ mrežni prekidač za premosnicu s inteligentnom funkcijom detekcije ispravnosti za praćenje normalnog radnog stanja ugrađenih sigurnosnih uređaja u stvarnom vremenu. Čim se sigurnosni uređaji pojave u radu, zaštitna funkcija će ih automatski premostiti kako bi se održala normalna mrežna komunikacija;
- Tehnologija selektivne zaštite saobraćaja može se koristiti za primjenu specifične sigurnosne opreme za čišćenje saobraćaja, tehnologije šifriranja zasnovane na opremi za reviziju. Efikasno provodi zaštitu linijskog pristupa za specifičnu vrstu saobraćaja, rasterećujući pritisak rukovanja protokom linijskog uređaja;
- Tehnologija zaštite prometa s uravnoteženim opterećenjem može se koristiti za klastersko raspoređivanje sigurnih serijskih inline sigurnosnih uređaja kako bi se zadovoljile inline sigurnosne mjere u okruženjima s velikom propusnošću.
Napredne funkcije i tehnologije prekidača za premosnicu mrežnog tapkanja
Mylinking™ „SpecFlow“ način zaštite i „FullLink“ način zaštite
Mylinking™ zaštita od preklapanja putem brzog bypassa
Mylinking™ “LinkSafeSwitch”
Mylinking™ “WebService” Dinamička strategija prosljeđivanja/izdavanja
Mylinking™ inteligentno otkrivanje poruka o otkucajima srca
Mylinking™ Definibilne poruke o otkucajima srca (paketi otkucaja srca)
Mylinking™ Višelink balansiranje opterećenja
Mylinking™ Inteligentna distribucija prometa
Mylinking™ Dinamičko uravnoteženje opterećenja
Mylinking™ tehnologija daljinskog upravljanja (HTTP/WEB, TELNET/SSH, karakteristika „EasyConfig/AdvanceConfig“)
Vodič za konfiguraciju opcionalnog prekidača za premosnicu mrežnog tap-a
BYPASS modulUtor za modul zaštitnog porta:
Ovaj slot se može umetnuti u BYPASS modul porta za zaštitu sa različitim brzinama/brojem porta. Zamjenom različitih tipova modula, može podržati BYPASS zaštitu za više 10G/40G/100G linkova.
MONITOR modulUtor za modul porta;
U ovaj slot se može umetnuti MONITOR modul sa različitim brzinama/portovima. Može podržati više linkova od 10G/40G/100G za implementaciju inline serijskog uređaja za praćenje zamjenom različitih modula.
Pravila odabira modula
Na osnovu različitih raspoređenih veza i zahtjeva za implementaciju opreme za nadzor, možete fleksibilno birati različite konfiguracije modula kako biste zadovoljili svoje stvarne zahtjeve okruženja; molimo vas da se pridržavate sljedećih pravila prilikom odabira modula:
1. Komponente šasije su obavezne i morate odabrati komponente šasije prije nego što odaberete bilo koje druge module. Istovremeno, odaberite različite načine napajanja (AC/DC) prema vašim potrebama.
2. Cijeli uređaj podržava do 2 utora za BYPASS module i 1 utor za MONITOR modul; ne možete odabrati više od broja utora za konfiguraciju. Na osnovu kombinacije broja utora i modela modula, uređaj može podržati do četiri zaštite 10GE linka; ili može podržati do četiri 40GE linka; ili može podržati do jedan 100GE link.
3. Modul modela "BYP-MOD-L1CG" može se ispravno umetnuti samo u SLOT1.
4. Modul tipa "BYP-MOD-XXX" može se umetnuti samo u utor za BYPASS modul; modul tipa "MON-MOD-XXX" može se umetnuti samo u utor za MONITOR modul za normalan rad.
| Model proizvoda | Parametri funkcije |
| Šasija (domaćin) | |
| ML-BYPASS-M100 | 1U standardni 19-inčni rackmontaž; maksimalna potrošnja energije 250W; modularni BYPASS zaštitnik hosta; 2 BYPASS utora za module; 1 utor za MONITOR modul; AC i DC opciono; |
| MODUL ZA ZAOBILAZAK | |
| BYP-MOD-L2XG(LM/SM) | Podržava dvosmjernu 10GE serijsku zaštitu, 4*10GE interfejs, LC konektor; ugrađeni optički primopredajnik; opcionalna optička veza jedno/višemodna, podržava 10GBASE-SR/LR; |
| BYP-MOD-L2QXG(LM/SM) | Podržava dvosmjernu 40GE serijsku zaštitu, 4*40GE interfejs, LC konektor; ugrađeni optički primopredajnik; opcionalna optička veza jedno/višemodna, podržava 40GBASE-SR4/LR4; |
| BYP-MOD-L1CG (LM/SM) | Podržava 1 kanal 100GE link serijsku zaštitu, 2*100GE interfejs, LC konektor; ugrađeni optički primopredajnik; optički link sa jednim višemodnim modom opciono, podržava 100GBASE-SR4/LR4; |
| MODUL MONITORA | |
| MON-MOD-L16XG | 16*10GE SFP+ modul monitoring porta; nema modula optičkog primopredajnika; |
| MON-MOD-L8XG | 8*10GE SFP+ modul monitoring portova; nema modula optičkog primopredajnika; |
| MON-MOD-L2CG | 2*100GE QSFP28 modul monitornog porta; nema modula optičkog primopredajnika; |
| MON-MOD-L8QXG | 8* 40GE QSFP+ modul monitoring portova; bez modula optičkog primopredajnika; |
Specifikacije mrežnog TAP bypass prekidača
| Modalitet proizvoda | ML-BYPASS-M100 Prekidač za premosnicu s linijskim mrežnim slavinom | |
| Vrsta interfejsa | MGT interfejs | 1*10/100/1000BASE-T adaptivni interfejs za upravljanje; Podrška za udaljeno HTTP/IP upravljanje |
| Slot za modul | 2*Utor za BYPASS modul; 1*Utor za MONITOR modul; | |
| Linkovi koji podržavaju maksimum | Uređaj podržava maksimalno 4*10GE linka ili 4*40GE linka ili 1*100GE linka | |
| Praćenje | Uređaj podržava maksimalno 16*10GE monitoring portova ili 8*40GE monitoring portova ili 2*100GE monitoring porta | |
| Funkcija | Mogućnost potpunog dupleksnog procesiranja | 640 Gbps |
| Na osnovu kaskadne zaštite prometa specifične za pet tuple IP/protokol/port | Podržano | |
| Kaskadna zaštita zasnovana na punom saobraćaju | Podržano | |
| Višestruko balansiranje opterećenja | Podržano | |
| Prilagođena funkcija detekcije otkucaja srca | Podržano | |
| Podržava nezavisnost Ethernet paketa | Podržano | |
| PREMOSNICA | Podržano | |
| BYPASS prekidač bez blica | Podržano | |
| UPRAVLJANJE KONZOLAMA | Podržano | |
| Upravljanje IP/WEB-om | Podržano | |
| SNMP V1/V2C Upravljanje | Podržano | |
| TELNET/SSH UPRAVLJANJE | Podržano | |
| SYSLOG protokol | Podržano | |
| Autorizacija korisnika | Na osnovu autorizacije lozinkom/AAA/TACACS+ | |
| Električni | Nazivni napon napajanja | AC-220V/DC-48V【Opciono】 |
| Nazivna frekvencija snage | 50 Hz | |
| Nazivna ulazna struja | AC-3A / DC-10A | |
| Nazivna snaga | 100W | |
| Okolina | Radna temperatura | 0-50℃ |
| Temperatura skladištenja | -20-70℃ | |
| Radna vlažnost | 10%-95%, Bez kondenzacije | |
| Konfiguracija korisnika | Konfiguracija konzole | RS232 interfejs, 115200, 8, N, 1 |
| MGT interfejs van opsega | 1*10/100/1000M Ethernet interfejs | |
| Autorizacija lozinkom | Podržano | |
| Visina šasije | Prostor šasije (U) | 1U 19 inča, 485 mm * 44,5 mm * 350 mm |
Primjena mrežnog TAP bypass prekidača (kao što slijedi)
5.1 Rizik ugrađene sigurnosne opreme (IPS / FW)
Slijedeći je tipičan način implementacije IPS-a (Intrusion Prevention System), FW (Firewall). IPS/FW se implementira kao inline mrežna oprema (kao što su ruteri, prekidači itd.) između prometa kroz implementaciju sigurnosnih provjera, u skladu s odgovarajućom sigurnosnom politikom kako bi se odredilo puštanje ili blokiranje odgovarajućeg prometa, radi postizanja efekta sigurnosne odbrane.
Istovremeno, IPS (Intrusion Prevention System) / FW (Firewall) možemo posmatrati kao inline raspoređivanje opreme, obično raspoređene na ključnim lokacijama u poslovnoj mreži radi implementacije inline sigurnosti. Pouzdanost povezanih uređaja direktno utiče na ukupnu dostupnost poslovne mreže. Preopterećenje, pad sistema, ažuriranja softvera, ažuriranja politika itd., uveliko utiče na dostupnost cijele poslovne mreže. U ovom trenutku, samo prekid mreže i fizičko premošćavanje mogu omogućiti oporavak mreže, ali to ozbiljno utiče na pouzdanost mreže. IPS (Intrusion Prevention System) / FW (Firewall) i drugi inline uređaji s jedne strane poboljšavaju implementaciju sigurnosti poslovne mreže, a s druge strane smanjuju pouzdanost poslovnih mreža, povećavajući rizik da mreža više nije dostupna.
5.2 Zaštita opreme Inline Link serije
Mylinking™ "Bypass Switch" se postavlja kao linijski priključak između mrežnih uređaja (rutera, prekidača itd.), a protok podataka između mrežnih uređaja više ne vodi direktno do IPS-a (sistema za prevenciju upada) / FW-a (zaštitnog zida). "Bypass Switch" se prebacuje na IPS/FW. Kada IPS/FW dođe do kvara zbog preopterećenja, pada sistema, ažuriranja softvera, ažuriranja pravila i drugih uslova, "Bypass Switch" putem inteligentne funkcije detekcije otkucaja srca omogućava pravovremeno otkrivanje neispravnih uređaja, čime se preskače neispravan uređaj bez prekidanja mrežne funkcije. Brzo se mrežna oprema direktno povezuje kako bi se zaštitila normalna komunikacijska mreža. Kada dođe do oporavka od kvara IPS/FW, ali i putem inteligentne funkcije detekcije otkucaja srca, pravovremeno se provjerava sigurnost originalne veze putem sigurnosnih provjera poslovne mreže.
Mylinking™ "Bypass Switch" ima moćnu inteligentnu funkciju detekcije poruke otkucaja srca. Korisnik može prilagoditi interval otkucaja srca i maksimalan broj ponovnih pokušaja putem prilagođene poruke otkucaja srca na IPS/FW uređaju za testiranje ispravnosti, na primjer slanjem poruke o provjeri otkucaja srca na uzvodni/nizvodni port IPS/FW uređaja, a zatim primanjem poruke s uzvodnog/nizvodnog porta IPS/FW uređaja, te procijeniti da li IPS/FW radi normalno slanjem i primanjem poruke o otkucaju srca.
5.3 Zaštita serije linijske trakcije prema politici „SpecFlow“
Kada sigurnosni mrežni uređaj treba da se nosi samo sa specifičnim saobraćajem u serijskoj sigurnosnoj zaštiti, putem Mylinking™ funkcije "Network Tap Bypass Switch" za obradu saobraćaja, strategija provjere saobraćaja za povezivanje sigurnosnog uređaja omogućava povezivanje "dotičnog" saobraćaja, koji se direktno vraća na mrežnu vezu, a "dotična dionica saobraćaja" se prenosi na linijski sigurnosni uređaj radi izvršenja sigurnosnih provjera. Ovo ne samo da će održati normalnu primjenu funkcije sigurnosne detekcije sigurnosnog uređaja, već će i smanjiti neefikasan protok sigurnosne opreme za rješavanje pritiska; istovremeno, "Network Tap Bypass Switch" može detektovati radno stanje sigurnosnog uređaja u realnom vremenu. Sigurnosni uređaj radi abnormalno, direktno zaobilazeći saobraćaj podataka kako bi se izbjegao prekid mrežne usluge.
Mylinking™ Inline Traffic Bypass Tap može identificirati promet na temelju identifikatora zaglavlja L2-L4 sloja, kao što su VLAN oznaka, MAC adresa izvora/odredišta, IP adresa izvora, tip IP paketa, port protokola transportnog sloja, oznaka ključa zaglavlja protokola i tako dalje. Različite fleksibilne kombinacije uvjeta podudaranja mogu se fleksibilno definirati kako bi se definirali specifični tipovi prometa koji su od interesa za određeni sigurnosni uređaj i mogu se široko koristiti za implementaciju posebnih uređaja za sigurnosnu reviziju (RDP, SSH, revizija baza podataka itd.).
5.4 Serijska zaštita s uravnoteženim opterećenjem
Mylinking™ "Network Tap Bypass Switch" se postavlja kao linijski prekidač između mrežnih uređaja (rutera, prekidača itd.). Kada performanse obrade jednog IPS/FW uređaja nisu dovoljne za rješavanje vršnog prometa mrežne veze, funkcija uravnoteženja opterećenja prometa zaštitnika, "grupiranje" više IPS/FW klastera za obradu prometa mrežne veze, može efikasno smanjiti pritisak obrade jednog IPS/FW uređaja i poboljšati ukupne performanse obrade kako bi se zadovoljile visoke propusne granice okruženja implementacije.
Mylinking™ "Network Tap Bypass Switch" ima moćnu funkciju balansiranja opterećenja, prema VLAN oznaci okvira, MAC informacijama, IP informacijama, broju porta, protokolu i drugim informacijama o Hash balansiranju opterećenja, raspoređujući promet kako bi se osigurao integritet sesije protoka podataka svakog IPS/FW primljenog signala.
5.5 Zaštita od vuče protoka višeserijske linijske opreme (Promjena serijskog priključka na paralelni priključak)
U nekim ključnim vezama (kao što su internet utičnice, veze za razmjenu servera) lokacija je često uzrokovana potrebama sigurnosnih funkcija i raspoređivanjem više opreme za testiranje sigurnosti u liniji (kao što su zaštitni zid (FW), oprema za zaštitu od DDoS napada, zaštitni zid web aplikacija (WAF), sistem za sprječavanje upada (IPS) itd.), više opreme za detekciju sigurnosti istovremeno serijski povezano na vezu povećavajući rizik od jedne tačke kvara na vezi, smanjujući ukupnu pouzdanost mreže. A u gore spomenutom online raspoređivanju sigurnosne opreme, nadogradnji opreme, zamjeni opreme i drugim operacijama, doći će do dugotrajnog prekida usluge mreže i većih prekida projekta kako bi se uspješno završila implementacija takvih projekata.
Implementacijom "Network Tap Bypass Switch" na jedinstven način, način implementacije više sigurnosnih uređaja povezanih u seriju na istoj vezi može se promijeniti iz "režima fizičkog spajanja" u "režim fizičkog spajanja, logičkog spajanja". Veza na vezi jedne tačke kvara poboljšava pouzdanost veze, dok "bypass switch" na vezi omogućava protok na zahtjev, kako bi se postigao isti protok kao i originalni način rada, efekat sigurne obrade.
Više od jednog sigurnosnog uređaja istovremeno kao dijagram inline implementacije:
Dijagram implementacije Mylinking™ mrežnog TAP bypass prekidača:
5.6 Na osnovu dinamičke strategije detekcije i zaštite od saobraćajne vuče
"Premosni prekidač za premosnicu mrežnog tapkanja" Još jedan napredni scenario primjene zasnovan je na dinamičkoj strategiji aplikacija za detekciju i zaštitu od saobraćajne vuče, a implementacija je prikazana na sljedeći način:
Uzmimo za primjer opremu za testiranje sigurnosti "Anti-DDoS zaštita i detekcija napada", putem front-end implementacije "Network Tap Bypass Switch" i zatim opreme za zaštitu od DDoS napada, a zatim povezivanja na "Network Tap Bypass Switch", u uobičajenom "Traction protector" načinu rada za prosljeđivanje punog prometa brzinom žice, istovremeno istovremeno zrcalno proslijedujući protok na "anti-DDOS uređaj za zaštitu od napada". Nakon detekcije IP adrese servera (ili IP mrežnog segmenta) nakon napada, "anti-DDOS uređaj za zaštitu od napada" generirat će pravila za usklađivanje ciljanog protoka prometa i poslati ih "Network Tap Bypass Switch" putem dinamičkog interfejsa za isporuku politika. "Network Tap Bypass Switch" može ažurirati "dinamiku vuče prometa" nakon što primi skup pravila dinamičke politike i odmah "pravilo" udari u "vuče prometa" napadačkog servera do opreme za zaštitu i detekciju napada na obradu, kako bi bio učinkovit nakon protoka napada, a zatim ponovno ubrizgan u mrežu.
Shema primjene zasnovana na "Network Tap Bypass Switch" je lakša za implementaciju od tradicionalnog BGP ubrizgavanja rute ili drugih shema za vuče saobraćaja, a okruženje je manje ovisno o mreži i pouzdanost je veća.
"Network Tap Bypass Switch" ima sljedeće karakteristike za podršku dinamičke zaštite detekcije sigurnosnih pravila:
1, "Prekidač za zaobilaženje mrežnog tapkanja" omogućava jednostavnu integraciju sa sigurnosnim uređajima trećih strana, izvan pravila zasnovanih na WEBSERIVCE interfejsu.
2, "BNetwork Tap Bypass Switch" baziran na hardverskom čistom ASIC čipu koji prosljeđuje pakete brzinom do 10 Gbps bez blokiranja prosljeđivanja prekidača i "biblioteci dinamičkih pravila za trakciju prometa" bez obzira na broj.
3, "Network Tap Bypass Switch" ugrađena profesionalna BYPASS funkcija, čak i ako sam zaštitnik prestane raditi, može odmah zaobići originalnu serijsku vezu, ne utičući na originalnu vezu normalne komunikacije.
